EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY MANAGEMENT

EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY MANAGEMENT Versie: 1.6 Datum: 19 mei 2007 De sleutel tot succes?

Voorwoord Ter afsluiting van onze studie EDP-audit aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de vraag of er een generiek model is om het key management proces uiteindelijk in control te verklaren. Key management is het proces dat cryptografie ondersteunt, die op haar beurt de bedrijfsdoelstellingen binnen de Rabobank ondersteunt. Vanuit de vrije Universiteit amsterdam is de heer Bart Bokhorst aangewezen als externe scriptiebegeleider. De gesprekken met Bart hebben tot interessante discussies geleid en ons uiteindelijk in de juiste richting gestuurd. We zijn hem dan ook zeer erkentelijk voor zijn kritische doch waardevolle opmerkingen waardoor we steeds een stap voorwaarts hebben kunnen maken. Naast Bart heeft Paul Samwel als interne scriptiebegeleider gefungeerd. Ook de gesprekken met Paul hebben geleid tot meer doordachte keuzes en waren daardoor van toegevoegde waarde voor de scriptie. We willen Paul hiervoor dan ook hartelijk danken. Buiten de scriptiebegeleiders zijn er nog diverse ander personen geweest die we dank verschuldigd zijn: naast de personen die vermeld staan in de lijst van geïnterviewden, is dat niet op de laatste plaats het thuisfront. Ronald van Erven Arie Schilp Teamnummer 719 Pagina 1 van 32

Inhoudsopgave VOORWOORD... 1 MANAGEMENT SAMENVATTING... 3 1 INLEIDING... 5 1.1 AANLEIDING... 5 1.2 TOELICHTING OMGEVING EN PROBLEMATIEK... 6 1.3 AFBAKENING EN PROBLEEMSTELLING... 7 1.3.1 Subvragen...7 1.4 ONDERZOEKSMODEL... 8 1.5 GEGEVENS... 9 1.6 LEESWIJZER... 9 2 UITWERKING PROBLEEMSTELLING... 10 2.1 IN CONTROL... 10 2.1.1 Definitie In control...12 2.1.2 In-control statement...12 2.1.3 Eisen aan een in-control statement (ICS)...12 2.2 CRYPTOGRAFIE... 14 2.2.1 Wat is cryptografie...14 2.2.2 Vormen van cryptografie...15 2.3 KEY MANAGEMENT... 17 2.3.1 Key management als een proces...17 3 BEHEERSPROCESSEN... 20 3.1 STANDAARD BEHEERSPROCESSEN (ITIL)... 20 4 MODELLERING... 21 4.1 PROTOTYPEMODEL... 21 5 GENERIEK MODEL... 23 Configuration Management (ITIL Service Support)...23 Incident Management (ITIL Service Support)...24 Problem Management (ITIL Service Support)...24 Change Management (ITIL Service Support)...24 Release Management (ITIL Service Support)...25 Availability Management (ITIL Service Delivery)...25 Service Level Management (ITIL Service Delivery)...26 6 CONCLUSIE... 27 BIJLAGE A. AFKORTINGEN & DEFINITIES... 29 BIJLAGE B. LITERATUURLIJST... 30 BIJLAGE C. GEÏNTERVIEWDEN... 31 Teamnummer 719 Pagina 2 van 32

Management samenvatting Beursgenoteerde ondernemingen, en banken in het bijzonder, hebben de afgelopen jaren met steeds meer wet- en regelgeving te maken gekregen. De mogelijke sancties, zoals strafrechtelijke vervolging, waarschuwingen en boetes of het verplicht reserveren van (extra) kapitaal, maken dat er meer noodzaak is om aan te tonen dat ze processen (voldoende) beheersen. Hierbij is een verschuiving waar te nemen van generieke naar specifieke processen. Met een In-Control Statement in het jaarverslag of een rapportage standaard, geeft de organisatie aan de processen voldoende te beheersen. Zo worden processen ondersteund door ICT-diensten. In het geval van betalingsverkeer wordt er gebruikgemaakt van cryptografische diensten. Deze diensten zijn nodig om aan de kwaliteitseisen van het betalingsverkeerproces te voldoen. Afhankelijk van de cryptografische toepassing kunnen vertrouwelijkheid, integriteit, authenticiteit en onweerlegbaarheid in het betalingsverkeerproces gewaarborgd worden. Een cryptografische dienst steunt volledig op sleutels. De sleutels zijn het geheim op basis waarvan vertrouwelijke informatie wordt uitgewisseld en vormen hierdoor een belangrijk element. De sleutels hebben een bepaalde levensloop vanaf generatie tot en met vernietiging. Het beheer van de sleutels tijdens deze levensloop, het key management, is een voorwaarde voor succes. Daarom zullen alle processen rondom het key management aantoonbaar beheerst moeten worden. Bedrijfsdoelstellingen Primaire bedrijfsprocessen om doelstellingen te behalen Informatie in processen Kwaliteitseisen Maatregel: cryptografie Key Management Zo wordt er binnen de Rabobank gebruikgemaakt van een groot aantal cryptografische methodieken ter In Control Statement ondersteuning van het betalingsverkeer. Bij dit proces zijn verschillende partijen betrokken voor datapreparatie, (betaal)pas aanmaken Figuur1: proces overzicht en afhandeling van de geldtransacties die daarmee verricht wordt. Voor dit laatste is een scala van gelduitgevende of -innemende apparatuur aanwezig. Hierop worden initieel en periodiek verschillende sleutels geladen. Door de diversiteit van producten en apparaten binnen de verschillende productgroepen van de bank, is het bijbehorende key management in de loop der tijd door verschillende afdelingen uitgevoerd of uitbesteed. Diverse reorganisaties van de afgelopen jaren hebben bijgedragen aan deze versnippering. De uitstroom van medewerkers met deze specialistische kennis heeft tot gevolg dat key management op dit moment onvoldoende aandacht krijgt en waarschijnlijk onvoldoende beheerst wordt. Eisen Toetsing In Control en In Control Statement Generiek beheerproces Control Objectives Teamnummer 719 Pagina 3 van 32

Door de toegenomen complexiteit en veelvoud van apparaten en technieken is het onmogelijk key management niet specifiek te behandelen ( er even bij te doen ). Deze problematiek willen we oplossen door key management centraal in te richten inclusief bijbehorende processen. Omdat we een sleutel zien als een asset, hebben we onderzocht of we deze processen kunnen koppelen aan ITIL. Deze best practice heeft als voordeel dat de organisatie hier al mee werkt en dus geen separate introductie behoeft. Een potentieel gevaar van ITIL is echter de massaliteit. Er zijn vele processen die ingericht kunnen worden. Omwille van de pragmatische insteek hebben we daarom keuzes gemaakt voor de ITIL-processen waarmee key management voldoende ondersteund kan worden. Centraal hierbij staat de Configuration Management Data Base, waarin alle meta-informatie van sleutels vastgelegd wordt en die input is voor de overige processen Change Management, Problem Management, Incident Management, Availability Management, Release Management en Service-Level Management. Om de hierboven beschreven complexe omgeving te onderzoeken is onze onderzoeksvraag: Is het mogelijk om een generiek model te definiëren waarmee een in-control statement voor het proces key management (KM) kan worden afgegeven? Tijdens ons onderzoek hiernaar hebben we de key life cycle in relatie tot de ITIL-processen uitgezet. Hierbij is gekeken welke ITIL-processen een toegevoegde waarde kunnen hebben tot de verschillende fases in de key life cycle. De aanvulling van het ene generieke model met het andere generieke model levert voldoende synergie op om dit als nieuw generiek model te kwalificeren. Wij zijn van mening dat we de onderzoeksvraag hiermee positief kunnen beantwoorden. Met het nieuwe model is het key management proces concreter meetbaar voor auditors. Zij kunnen hierdoor aan het management en de directie een in-control statement afgeven omtrent het beheer van de cryptografische diensten. Teamnummer 719 Pagina 4 van 32

1 Inleiding Ter ondersteuning van bedrijfsprocessen en bedrijfsvoering maakt de Rabobank gebruik van ICT-diensten en ICT-dienstverleners, en ook van cryptografische diensten om zo te voldoen aan de, door commerciële afdeling en directie gestelde kwaliteitseisen met betrekking tot de betrouwbaarheid en vertrouwelijkheid van het data- en transactieverkeer van betalingssystemen. Omdat het beheer van ICT-diensten veelal over meerdere interne afdelingen gaat en zelfs taken geoutsourcet worden, is het van belang dat de stakeholders, i.c. de commerciële afdelingen en de directie, garanties krijgen over de geleverde ICT-dienstverlening. Deze garanties zijn onder andere te geven via service level agreements, doch de praktijk wijst uit dat bedrijven en afdelingen steeds vaker een in-control statement (ICS) moeten afgeven op de specifieke rol die zij in de ICT-dienstverlening vervullen. In een dienst als cryptografie speelt key management een kritieke rol. Key management kan bij grote organisaties, onder andere door functiescheiding, afdelingoverschrijdend zijn. En daarom is een ICS wenselijk. Indien de focus gelegd wordt op het stellen van kwaliteitseisen door de commerciële afdelingen en/of de directie, moet men denken aan eisen als: - voldoen aan wettelijke eisen; - bedrijfsdoelstellingen; - risico s en geaccepteerde risico s in ICT-infrastructuur en bedrijfsprocessen. 1.1 Aanleiding De Rabobank maakt gebruik van cryptografische diensten en vele sleutels die beheerd moeten worden. Omdat cryptografie binnen de Rabobank voor steeds meer toepassingen binnen steeds meer afdelingen (en bijbehorende producten) gebruikt wordt, zijn in de loop der tijd een niet eenduidig overzicht en beheer van key management activiteiten ontstaan. Ook de diverse reorganisaties en het personeelsverloop hebben hier een bijdrage aan geleverd. Het gevolg is een niet beheerste omgeving, doordat: - kennis en verantwoordelijkheden niet eenduidig belegd zijn, waarmee de continuïteit in gevaar komt; - het huidige proces niet beschreven staat, maar steunt op informele contacten; - er niet volledig voldaan wordt aan de geldende normen; - er geen duidelijke functiescheiding aanwezig is. Het niet eenduidig beheersen van het key management proces leidt tot een inefficiënte werkwijze waarbij tevens niet altijd voldaan wordt aan de diverse key management wetten, standaarden en richtlijnen die voor de diverse bankproducten van toepassing zijn. Vooral de externe wet- en regelgeving, bijvoorbeeld SOx, Basel II, ROB en Tabaksblat, stelt steeds meer eisen aan processen en vraagt hiervoor om een zogenaamde in-control statement, waarmee de onderneming aangeeft processen (voldoende) te beheersen. Uiteraard moet hierbij opgemerkt worden dat een dergelijk in-control statement alleen afgegeven zou moeten worden bij processen waarbij het ontbreken van een beveiligingsmaatregel als cryptografie, ernstige operationele, financiële, juridische en imagoschade voor het de organisatie met zich mee zou brengen. Teamnummer 719 Pagina 5 van 32

1.2 Toelichting omgeving en problematiek Omgeving Binnen het betalingsverkeer wordt een onderscheid gemaakt tussen het pas-uitgifte proces, issuing en transactie verwerkende proces, acquiring. Beiden hebben veel vertrouwelijke communicatie tussen verschillende partijen gemeen en zullen kort toegelicht worden. Issuing Issuing is het proces van (betaal) pas initiatie en aanmaak. De klant verzoekt de bank om een betaalpas. De bank verzamelt de benodigde informatie en stuurt die door naar een externe partij die de datapreparatie uitvoert. In dat proces worden specifieke pasgegevens aangemaakt en wordt de pincode gegenereerd. Deze wordt vanuit deze externe partij naar de klant gestuurd. De data is hiermee klaar om op de magneetstrip en/of chip op de pas gedrukt te worden en wordt doorgestuurd naar de partij die de pas fysiek aanmaakt. Na aanmaak van de pas wordt deze naar de klant gestuurd waarmee deze de pas en bijbehorende pincode dus in zijn bezit heeft. Bij dit proces zijn drie verschillende (externe) partijen betrokken waartussen data getransporteerd moet worden. Ten behoeve van de vertrouwelijkheid en integriteit van de data wordt tijdens deze communicatiestromen cryptografie toegepast. Acquiring Nu de klant in het bezit is van de pas, wil hij deze kunnen gebruiken voor geldmutaties. Hierbij kan geld opgenomen, gestort of overgemaakt worden. Voor deze toepassingen wordt gebruik gemaakt van een scala van apparaten zoals bijvoorbeeld een geldautomaat (opname), een stortingsapparaat (geld storten op rekening) of een betaalautomaat (overmaking). Bij initialisatie van deze apparaten dient een (hoofd)sleutel geladen te worden. Omdat hierbij gebruik wordt gemaakt van verschillende apparaten met weer verschillende producenten, ontstaat een netwerk van partijen waartussen sleutels uitgewisseld moeten worden. Net als de communicatiestromen bij issuing, wordt cryptografie toegepast ten behoeve van de vertrouwelijkheid en integriteit van de data. De communicatiestromen bij acquiring worden transactiestromen genoemd. Omdat cryptografie steunt op cryptografische sleutels, is het key management van groot belang. Indien sleutels niet zorgvuldig en overeenkomstig (bancaire) normen worden beheerd, kunnen bovengenoemde processen leiden tot financiële en/of imago schade. Teamnummer 719 Pagina 6 van 32

1.3 Afbakening en probleemstelling De typologie en het proces zijn ten aanzien van key management te kenmerken als een grote gedistribueerde omgeving. Voor dit proces binnen deze omgeving willen we onderzoeken of hier een generiek model voor te ontwikkelen is. Dit maakt dat we geen specifieke aandacht besteden aan andere aspecten van key management zoals: - het certificeren van asymmetrische sleutels; - cryptografie ten behoeve van opslag van gegevens (file encryptie); - cryptografie ten behoeve van secure email (Pretty Good Privacy); - cryptografie voor koppelingen op basis van Vitual Private Network. De probleemstelling voor ons onderzoek luidt: Is het mogelijk om een generiek model te definiëren waarmee een in-control statement voor het proces key management (KM) kan worden afgegeven? Met generiek bedoelen we hier een algemeen toepasbare methode met algemeen toegepaste middelen, waardoor een synergie ontstaat. We gaan op zoek naar gestandaardiseerde processen die van toepassing kunnen zijn voor key management. Hierbij wordt gekeken of deze processen in zo veel mogelijk bestaande vormen ondersteuning kunnen geven. Het voordeel hiervan is dat men vaak al bekend is met het werken volgens deze methoden. Een ander belangrijk voordeel is dat een standaard proces eenvoudiger te beoordelen is. 1.3.1 Subvragen Deze onderzoeksvraag wordt vanuit de volgende subvragen geconcretiseerd: 1. Wat is een standaard in-control statement (ICS)? 2. Wat is cryptografie? 3. Wat is key management? 4. Welke standaard is er voor een in-control statement? 5. Welk generieke beheersprocessen kan gebruikt worden voor key management? Teamnummer 719 Pagina 7 van 32

1.4 Onderzoeksmodel Om het onderzoek uit te voeren, is een onderzoeksmodel gedefinieerd zoals weergegeven wordt in figuur 2. Het model beschrijft de stappen die doorlopen zijn. Figuur 2: Onderzoeksmodel Teamnummer 719 Pagina 8 van 32

1.5 Gegevens Betreft Gegevens 1. Auteurs Naam AH Schilp (Arie) R van Erven (Ronald) Student nummer 9981189 9981162 Naam werkgever Rabobank Nederland / Groep ICT; Informatie Security Manager Adres Postbus 17100 3500 HG Utrecht Tele2-Versatel; ICT Security officer JJP Oudpad 15; 3822 EN; Amersfoort Telefoonnummer 0302161762; 0622548648 0207502227 (altijd naar mobiel doorgeschakeld); 0334564998 e-mailadres a.schilp@rn.rabobank.nl Ronald.vanerven@xs4all.nl 2. Interne begeleider Naam 3. Externe begeleider PH Samwel RE(Rabobank Nederland, Hoofd Informatie en Risico Management; email: p.h.samwel@rn.rabobank.nl; tel: 0302152548 Naam B. Bokhorst ( email: b.bokhorst@belastingdienst.nl ; bart.bokhorst@zonnet.nl; telefoon: 0555283297 / 0618608920 ) 4. File 719 1.6 Leeswijzer In dit hoofdstuk is de aanleiding voor het onderzoek geformuleerd en is de probleemstelling verwoord. Hoofdstuk 1 is ingericht voor de inleidende en algemene informatie. In hoofdstuk 2 geven we de achtergrondinformatie van de aspecten die van belang waren voor ons onderzoek, te weten in control, cryptografie en key management. In hoofdstuk 3 zijn we nader ingegaan op het standaard beheerproces ITIL. De relatie tussen key management en ITIL, de zogenaamde modellering, wordt in hoofdstuk 4 beschreven. Het generieke model volgt in hoofdstuk 5. Hoofdstuk 6 ten slotte bevat onze conclusie en het antwoord op onze onderzoeksvraag.

2 Uitwerking probleemstelling 2.1 In control Aanleiding Voordat we ingaan op in control, eerst een korte toelichting op de oorsprong hiervan. De aanleiding is vooral de externe wet- en regelgeving. De regelingen van Sarbanes Oxley Act (SOx), Regeling Organisatie en Beheersing (ROB), Basel II en de Code Tabaksblat hebben ervoor gezorgd dat organisaties meer belang (moeten) hechten aan het in control zijn en de rapportage daarvan. Sarbanes-Oxley Act Naar aanleiding van de boekhoudfraudes, is in 2002 in de Verenigde Staten de U.S. Public Company Accounting Reform and Investor Protection Act van kracht geworden. Deze is inmiddels meer bekend als de Sarbanes-Oxley Act, ook wel afgekort tot SOx. Doel was om frauduleuze praktijken binnen beursgenoteerde organisaties tegen te gaan. Alle in de VS aan de beurs genoteerde organisaties dienen te voldoen aan de Sarbanes-Oxley reglementen. Handelspartners van de ondernemingen die aan de SOx voldoen, worden ook meegezogen in deze stroom: de informatieprocessen van handelspartners worden immers gekoppeld. Feitelijk stelt SOx daarmee haar eisen ook aan deze ondernemingen. SOx dient ertoe te leiden dat de (totstandkoming van de) financiële verslaglegging betrouwbaar is. Betrouwbaar in de termen van juist en volledig. Het management moet in control zijn, hetgeen betekent dat processen beschreven dienen te zijn inclusief de beheersingsmaatregelen binnen de processen. Regeling Organisatie en Beheersing De Regeling Organisatie en Beheersing (ROB) is opgesteld door De Nederlandsche Bank (DNB) en vervangt een aantal richtlijnen en aanbevelingen die DNB in het verleden heeft uitgevaardigd ten behoeve van financiële instellingen. De regeling heeft tot doel richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen en onderscheidt de volgende specifieke risicogebieden: - Kredietrisico - Marktrisico - Liquiditeitsrisico - Operationeel risico - Informatietechnologie - Uitbesteding van (delen van) bedrijfsprocessen - Integriteitsrisico - Rechten en plichten van (potentiële) cliënten. In de ROB is onderscheid gemaakt tussen richtlijnen (met een verplichtend karakter) en aanbevelingen (die weliswaar geen verplichtend karakter hebben, maar waarvan de instelling alleen op goede gronden mag afwijken). In artikel 7 van [ROB]staat: het zorgdragen voor de uitwerking en implementatie van de beleidsuitgangspunten ter beheersing van IT-risico s in zichtbare organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de IT-processen en de dagelijkse werkzaamheden van alle relevante geledingen. Hier ligt wat ons betreft de link naar een beheerst IT-proces, waarop we ons generiek model willen aanpassen. Teamnummer 719 Pagina 10 van 32

Waar de ROB zich voornamelijk richt op de inhoud, de wijze waarop risicomanagement dient te worden georganiseerd binnen de bank, richt Basel II zich meer op de processen en de structuren voor deze processen. Basel II In 1930 is de internationale financiële organisatie Bank for International Settlements (BIS) opgericht. Het doel van BIS is de samenwerking tussen nationale centrale banken te bevorderen. Zo wordt het toezicht dat de nationale centrale banken uitoefenen op de commerciële banken, op elkaar afgestemd. Dat was nodig omdat door de internationalisering de concurrentie tussen bancaire instellingen werd verhevigd. Medio jaren tachtig zette deze concurrentiestrijd verder door en werd als gevolg hiervan steeds minder eigen vermogen in relatie tot de verstrekte kredieten aangehouden. Deze verslechterende solvabiliteit leidde tot hoge risico s. Toezicht en afspraken waren noodzakelijk om de financiële markten te beschermen. In 1988 zijn hiervoor richtlijnen vastgesteld die door de nationale centrale banken van de grote landen zijn overgenomen. De overige landen volgden later. De richtlijn bepaalt dat een bank tegenover elke kredietverstrekking een bepaald percentage van dat bedrag als eigen vermogen moet aanhouden. Deze richtlijn is genoemd naar de plaats waarin de BIS is gevestigd en is bekend geworden als Basel I. Met de toepassing van Basel I kwamen er diverse nadelen van het systeem naar boven. Zo was het te veel toegespitst op het in- en uitlenen van geld, terwijl de werkelijkheid veel dynamischer bleek. Daarom is vanaf 1996 gewerkt aan een nieuwe richtlijn. Deze opvolger is dan ook Basel II genoemd. Basel II gaat niet meer alleen uit van kredietrisico s maar ook van markt- en operationele risico s. Per aandachtsgebied dient een kapitaalsreservering berekend en aangehouden te worden. Voor ons onderzoek is vooral het operationele risico van belang. Hieronder verstaan we de risico s die voortkomen uit falende of onjuiste interne processen, mensen en systemen of externe gebeurtenissen. Code Tabaksblat Zijn de financiële instellingen als gevolg van de ROB gebonden aan een verklaring over risicobeheersing, vanaf januari 2004 zijn alle vennootschappen met hun statutaire zetel in Nederland en waarvan (certificaten van) aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs, gehouden aan de Nederlandse Corporate Governance Code. In 2003 werd in Nederland een commissie samengesteld die gevraagd werd een opvolging van het rapport Corporate Governance in Nederland; De Veertig Aanbevelingen uit 1997 van de commissie Peters te ontwikkelen. Omdat deze commissie onder leiding van Morris Tabaksblat stond, wordt deze Governance Code ook wel de Code Tabaksblat genoemd. Deze code is gericht op het functioneren van de leden van de Raad van Bestuur, de macht van de commissarissen en de invloed van de aandeelhouders. Zo wordt voor de Raad van Bestuur (II.1 Taak en werkwijze) gesteld dat deze verantwoordelijk is voor het beheersen van de risico s die verbonden zijn aan de ondernemingsactiviteiten. In de best-practice bepaling van dit hoofdstuk [TABAK] staat onder II.1.4: In het jaarverslag verklaart het bestuur dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn en geeft het een duidelijke onderbouwing van deze verklaring. Bij de code geldt de pas toe of leg uit -regel: beursgenoteerde ondernemingen dienen in het jaarverslag aan te geven of zij de codevoorschriften toepassen en zo niet, waarom niet. Deze pas toe of leg uit -regel is wettelijk vastgelegd. Teamnummer 719 Pagina 11 van 32

2.1.1 Definitie In control De definitie die Driesen, Kamstra en Molenkamp geven aan in control is: De wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van de belanghebbende. In het kader van dit onderzoek richten wij ons meer op het proces zelf. Een generiek model zou moeten borgen dat het key management proces een beheerst proces is. Onze definitie voor in control luidt dan ook: Een proces is in control als het aantoonbaar beheerst wordt tot op een niveau dat van dat proces vereist mag worden (goed huisvaderschap) aan de hand van voorafgestelde normen (eisen). 2.1.2 In-control statement Uit bovenstaande blijkt dat er voldoende aanleidingen zijn voor een in-control statement (ICS). Omdat steeds meer organisaties afzonderlijke processen in control willen verklaren, willen wij onderzoeken hoe voor het key management proces een ICS afgegeven kan worden. Allereerst dient aangegeven te worden wat een dergelijke ICS nu precies inhoudt. ICS is afgeleid van het Statement of Control, dat in de Verenigde Staten door het management wordt afgegeven aan de aandeelhouders. Het management geeft hiermee aan in hoeverre het voldoende grip heeft op de bedrijfsprocessen. De introductie van SOx heeft zo n statement geformaliseerd. Met betrekking tot ICS wordt binnen SOx de wijze aangegeven waarop in het algemeen met risico s wordt omgegaan en dan nog alleen wat betreft de financiële informatieverstrekking. Maar inmiddels zijn er ontwikkelingen die maken dat organisaties nu verder (moeten) gaan met ICS. In hun artikel In Control Statements [DRIES] geven de schrijvers Driessen, Kampstra en Molenkamp aan dat in control verder kan gaan dan wat SOx beschrijft. Hiermee bedoelen zij dat een ICS primair aangeeft in hoeverre de organisatie beheersmaatregelen heeft getroffen om risico s af te dekken en op basis daarvan de tekortkomingen kan identificeren. Immers, Basel II schrijft voor dat er afhankelijk van het te lopen risico een kapitaalsreservering dient plaats te vinden. Dit maakt dat beheersing van operationeel risico voor de banken dus van groot belang is. Hiermee hebben we de eerste sub-onderzoeksvraag beantwoord. Duidelijk is dat vooral externe wet- en regelgeving voor meer aandacht voor in control heeft gezorgd. Gesteld kan worden dat in control afdaalt van de financiële wereld naar de specifieke IT-processen. Bij een aantal bedrijven wordt bijvoorbeeld aan informatiebeveiliging gevraagd of de organisatie in control is op het gebied van informatiebeveiliging [CIOPL]. Gezien het belang van key management, kan deze verklaring hiernaar toe doorgetrokken worden. 2.1.3 Eisen aan een in-control statement (ICS) Op zich zijn er geen eisen gesteld aan een standaard rapportage. Deze wordt in overleg bepaald tussen opdrachtgever, auditor en auditee. Om te voorkomen dat er een diversiteit aan in-control statement ontstaat, is de rapportage standaard SAS70 ontwikkeld. Doel van deze standaard is niet alleen om audit efficiency te bereiken, maar ook om te kunnen benchmarken tussen vergelijkbare bedrijven en processen. SAS70 stelt eisen aan de wijze van een rapportage. SAS70 staat voor Statement on Auditing Standards number 70, een door het American Institute of Certified Public Accountants (AICPA) opgestelde norm voor certificering van procesbeheersing. Een SAS70-rapport biedt een gedetailleerd inzicht in de wijze waarop een organisatie de kwaliteit van haar dienstverlening waarborgt. Teamnummer 719 Pagina 12 van 32

Rapportagevorm voor een ICS op basis van SAS-70 [AICPA] Voor SAS-70 bestaan een type-i en een type-ii rapport. Type I: momentopname Een type-i rapport beschrijft de getroffen beheersmaatregelen (controls) die op een bepaald moment zijn geïmplementeerd en waarmee de beheersdoelstellingen (control objectives) kunnen worden bereikt. De beschrijving wordt ondersteund door een rapport van de externe auditor dat aangeeft of de maatregelen toereikend zijn om de beheersdoelstellingen te realiseren en of deze op de specifiek genoemde datum daadwerkelijk waren geïmplementeerd. Type II: uitspraak over een bepaalde periode Een type-ii rapport heeft betrekking op een periode minimaal 6 maanden waarin de beschreven beheersmaatregelen aanwezig waren om de beheersdoelstellingen te bereiken. Ook is het rapport van de externe auditor uitgebreid met een oordeel over de werking van de maatregelen in deze periode. De opbouw van het SAS-70 rapport Een SAS-70 rapport bestaat uit verschillende secties, namelijk: Sectie 0 De geheimhoudingsverklaring. De auditors, de auditee en de opdrachtgever komen hierin overeen dat het rapport alleen gebruikt wordt in het kader van de opdracht en dat de inhoud hiervan niet op andere wijze openbaar wordt gemaakt. De geheimhoudingsverklaring is niet een standaard sectie uit SAS70, maar is een best practice die door steeds meer bedrijven word overgenomen. In de Verenigde Staten worden geheimdhoudings verklaringen in een apart contract geregeld, doch van uit het Verenigd Koninkrijk vonden accountants bedrijven het nodig om dit een onderdeel van het SAS70 rapport. Sectie I Independent Service Auditors Report omvat alleen het oordeel van de auditor en niet het gehele rapport. Deze sectie, de eigenlijke in-control statement, is de verantwoordelijkheid van de externe auditor. Sectie II Description of Controls and Procedures de ICT-dienstverlener dient naast een overzicht van de dienstverlening en de organisatie een beschrijving te geven van de interne beheersing onderverdeeld naar de vijf componenten van het referentieraamwerk van COSO (Committee of Sponsoring Organizations of the Treadway Commission). Deze vijf componenten zijn: - Control Environment: beschrijft de integriteit, ethische waarden en competenties van het personeel en de managementfilosofie en managementstijl; - Risk Assessment: omvat de identificatie en analyse van risico s die relevant zijn voor het bepalen van maatregelen voor risicobeheersing; - Control Activities: de processen en procedures die de doelstelling van het management helpen te waarborgen; - Information and Communication: richt zich op de aard en kwaliteit van de informatie die nodig is voor een effectief bestuur en rapportages; - Monitoring: omvat de component die de kwaliteit en effectiviteit van de processen toetst. Teamnummer 719 Pagina 13 van 32

De ICT-dienstverlener is verantwoordelijk voor het opstellen van deze sectie. De auditor is verantwoordelijk voor het doornemen van deze beschrijving en het bepalen van de geschiktheid van de opzet van de controls. Sectie III Tests of Operating Effectiveness In deze sectie worden de beheersmaatregelen ( controls ) getoetst die door ICT-dienstverlener zijn vastgesteld. Voor een type-i verklaring omvat deze toetsing opzet en bestaan en voor een type-ii verklaring omvat het alleen de werking. De auditor toetst de beheersmaatregelen door middel van Inquiry (interview), Inspection (inspectie van documenten), Observation (waarnemen) en Reperformance (opnieuw uitvoeren). De mate van testen van de beheersmaatregelen is afhankelijk van het aantal keer dat de testen worden uitgevoerd. De auditor is verantwoordelijk voor deze sectie. Opgemerkt dient te worden dat de wijze van controle rule based is, in tegenstelling tot principle based, waarbij het mogelijk is om aan bestaan en werking te voldoen ook al is opzet niet aanwezig. Bij rule-based auditing is het zo dat indien opzet niet aangetoond kan worden, bestaan niet aanwezig is en dat als bestaan niet aanwezig is, er geen sprake kan zijn van werking. Sectie IV Other Information Provided by Service Organization Deze sectie geeft ruimte aan ICTdienstverlener voor het geven van extra informatie. Hierbij kan het gaan om informatie over bijvoorbeeld continuïteit en geplande significante projecten of systeemconversies. Met de beschrijving van deze vorm van rapporteren is de tweede sub-onderzoeksvraag behandeld en kan deze rapportage ook voor key management worden toegepast. 2.2 Cryptografie In dit hoofdstuk komen de aspecten met betrekking tot de derde sub-onderzoeksvraag aan de orde, waarbij tevens nader wordt ingegaan op de vormen en toepassingsgebieden van cryptografie. 2.2.1 Wat is cryptografie Het woord cryptologie is een combinatie van de Griekse woorden kruptus en logos, die verborgen en woord betekenen. Binnen cryptologie kan onderscheid gemaakt worden tussen cryptografie en cryptoanalyse. Ons onderzoek heeft betrekking op cryptografie. Van der Lubbe [LUBBE] omschrijft cryptografie als: dat deel van cryptologie dat zich bezighoudt met technieken om data te versluieren of te vercijferen, waarbij veelal gebruik wordt gemaakt van geheime sleutels. Hierbij geldt dat het versluieren van data encryptie wordt genoemd, en het ontcijferen decryptie. Cryptografie bestaat al sinds lange tijd en werd van oorsprong alleen toegepast om informatie te versluieren. De boodschap die verzonden werd, mocht alleen door de partij gelezen worden waarmee een afspraak over de versluiering was gemaakt. De eerste toepassing werd uitgevoerd door Julius Caesar om berichten naar het front te sturen. Vooral militaire toepassingen hebben ertoe geleid dat cryptografie in de loop der jaren verder geëvolueerd is. Een bekend voorbeeld is de enigma-machine die voor en tijdens de Tweede Wereldoorlog door Duitsland gebruikt werd. De afspraken die voor de toepassing van cryptografie noodzakelijk zijn, betreffen het toegepaste algoritme (de wijze waarop het doel wordt bereikt) en de bijbehorende sleutel. De Teamnummer 719 Pagina 14 van 32

berichten van Caesar werden bijvoorbeeld versluierd door elke letter van een bericht te vervangen door een letter die drie plaatsen verder in het alfabet staat. Deze methode is dus gebaseerd op substitutie. Een andere methode is bijvoorbeeld transpositie. Hierbij veranderen letters van plaats. Substitutie en transpositie worden vaak gecombineerd als algoritme toegepast. Het toegepaste algoritme bij cryptografie is niet geheim. Twee overwegingen hiervoor zijn: 1) het algoritme kan door leveranciers als standaard in diverse hardware worden opgenomen; 2) door het algoritme vrij te geven kan het indringend getest worden, waardoor mogelijke fouten (snel) ontdekt worden. Naast het algoritme is daarom een geheime sleutel benodigd. Deze sleutel (de mogelijke waarde waarmee het doel wordt bereikt) is hiermee de kern van cryptografie en dient hierom goed beheerd te worden. Het zogenaamde Caesar-algoritme vond plaats op basis van een gedeeld geheim waarmee de vertrouwelijkheid van een bericht kon worden gewaarborgd. Deze vorm heet symmetrische cryptografie. Midden jaren zestig werd een nieuwe techniek ontwikkeld waarbij op basis van wiskundige functies twee sleutels een onlosmakelijk verband met elkaar hebben, de asymmetrische cryptografie. 2.2.2 Vormen van cryptografie Symmetrische cryptografie Bij symmetrisch cryptografie wordt één sleutel gedeeld tussen de zender en de ontvanger. Met deze sleutel wordt het bericht door de zender encrypt (cipher text) en kan de ontvanger het door decryptie weer leesbaar maken (plain text). Een bekende vorm van symmetrische cryptografie is: Data Encryption Standard. DES is ontwikkeld in de jaren zeventig door IBM, en werd in 1976 de standaard cryptografische methode voor de Amerikaanse overheid. DES werkt op basis van een combinatie van transpositie en substitutie. Hierbij is de veiligheid afhankelijk van de sleutellengte. Indien de sleutellengte 56 bits bedraagt, zijn er 2 56 sleutels mogelijk. In de afgelopen jaren is het mogelijk gebleken de DES sleutel te achterhalen via een brutekrachtaanval. Hierbij worden door (steeds krachtigere) computers onuitputtelijk nieuwe sleutels uitgeprobeerd, net zolang totdat het bericht leesbaar is. In reactie hierop is Triple DES (3DES) ontwikkeld. Hierbij worden de data 3 keer vercijferd met 2 of 3 verschillende sleutels. De kans op een succesvolle brutekrachtaanval wordt hiermee aanzienlijk gereduceerd. In 1998 maakte de Electronic Frontier Foundation haar DES cracker project bekend. De EFF had dit project speciaal ontwikkeld en gefinancierd om DES te kunnen kraken. Omdat verwacht werd dat 3DES uiteindelijk ook gekraakt zou kunnen worden, schreef de Amerikaanse overheid een wedstrijd uit voor de ontwikkeling van een nieuwe cryptografiestandaard. In oktober 2000 werd het Rijndael-algoritme uit België als nieuwe standaard gekozen. Deze is inmiddels bekend als Advanced Encryption Standard (AES) en is als zodanig door de financiële wereld geadopteerd. Asymmetrische cryptografie In tegenstelling tot symmetrische cryptografie hoeven de afzender en ontvanger bij asymmetrische cryptografie niet allebei over dezelfde sleutel te beschikken om een bericht te encrypten of decrypten. Twee sleutels zijn hier van belang. Wat versleuteld wordt met de ene sleutel, kan gelezen worden met de andere sleutel en vice versa. Door één deel van de sleutel consequent geheim te houden en de ander juist openbaar te maken, kunnen verschillende technieken worden Teamnummer 719 Pagina 15 van 32

uitgevoerd. Deze sleutels noemen we respectievelijk private key en public key. Deze sleutels zijn met behulp van een priemgetal wiskundig berekend en onlosmakelijk met elkaar verbonden. De private key blijft altijd in eigen bezit en moet geheim blijven. De public key daarentegen wordt juist gepubliceerd. Degene die een bericht wil versturen of ontcijferen, kan dan deze sleutel opzoeken en gebruiken. Het hele infrastructuur rondom (a)symmetrische cryptografie wordt ook wel aangeduid als Public Key Infrastructure (PKI). Naast het versluieren van een bericht kan PKI ook zorgen voor authenticatie van de afzender, de integriteit van het bericht en de onweerlegbaarheid. PKI werd in 1976 uitgevonden door Whitfield Diffi en Martin Hellman. Een bekend en veel toegepast algoritme is het RSA-algoritme, dat in 1978 werd uitgevonden door Ron Rivest, Adi Shamir en Leonard Adleman. PKI biedt meer mogelijkheden dan symmetrische cryptografie, maar is complexer door de organisatorische consequentie. Ontvangende partijen willen zekerheid dat de publieke sleutel die ze verkrijgen, ook inderdaad afkomstig is van de partij die deze uitgeeft. Hiervoor is een derde partij (Trusted Third Party, TTP) actief. De TTP stelt een (digitaal) certificaat op waarmee de verbintenis tussen de identiteit van de aanvrager en haar publieke sleutel wordt bevestigd. Een TTP die certificaten uitgeeft, wordt ook wel Certificate Authority (CA) genoemd. Toepassingsgebieden Zoals eerder aangegeven, werd cryptografie van oorsprong toegepast voor versluiering van berichten. Zowel symmetrische als asymmetrische cryptografie kan de vertrouwelijkheid van een bericht waarborgen. Hieronder in figuur 3, een grafische voorstelling daarvan, waarbij de symmetrische cryptografie plaatsvindt met de (gedeelde) sleutel AB en bij asymmetrische cryptografie met het sleutelpaar van partij B. Figuur 3: Vertrouwelijkheid obv cryptografie Door toepassing van de juiste (combinatie van) cryptografische bewerkingen kunnen de volgende beveiligingsaspecten gewaarborgd worden: Vertrouwelijkheid Integriteit Authenticiteit Onweerlegbaarheid : onbekenden kunnen het bericht niet inzien. : de inhoud van het bericht kan niet onopgemerkt gewijzigd worden. : zekerheid over de zender van het bericht. : een partij kan niet ontkennen het bericht verstuurd te hebben. Het voordeel van DES/3DES is dat het een betrouwbaar en relatief goedkoop en snel algoritme is dat eenvoudig in de hardware is te realiseren. Door deze voordelen wordt het veel gebruikt in de financiële wereld. Het probleem is echter de uitwisseling van de sleutel. Een algemene norm is dat een sleutel nooit in klare tekst mag voorkomen, dus zijn er diverse methodes ontwikkeld om de sleutel veilig te transporteren. De komst van asymmetrische cryptografie biedt hierbij een goede oplossing. Omdat bij deze vorm van cryptografie een Teamnummer 719 Pagina 16 van 32

grote sleutellengte nodig is, vergt de versluiering van (grote) berichten veel rekenkracht. In de financiële wereld wordt daarom cryptografie van berichten zelf met symmetrische sleutels toegepast en vindt uitwisseling van die sleutels steeds vaker plaats met behulp van asymmetrische cryptografie. 2.3 Key management Zoals geschetst is een essentieel onderdeel van cryptografie de sleutel. Indien de sleutel openbaar zou worden, kan de informatie openbaar worden gemaakt of worden gewijzigd. Dit kan schade veroorzaken voor het bedrijf of de persoon die de informatie had versleuteld. Het beheer van sleutels is daarom een voorwaarde om welke vorm van cryptografie dan ook toe te passen. De Engelse en meer gangbare term voor sleutelbeheer is key management. 2.3.1 Key management als een proces Key management bestaat uit een aantal fasen, de zogenaamde life cycle van sleutels. Deze start bij de generatie en eindigt bij het vernietigen van een sleutel. Elke fase is erop gericht om de vertrouwelijkheid, integriteit en continuïteit van de sleutels te ondersteunen. De key life cycle kan gezien worden als (generiek) model. In onderstaande figuur 4, staat het model met de specifieke fasen vermeld. Figuur 4: Key Management Life Cycle [KPMG] De fasen zijn als volgt te beschrijven [KPMG]. Activiteit Asymmetrische Symmetrische & Omschrijving publieke sleutels Asymmetrische geheime sleutels Key (pair) X X Het aanmaken van een sleutel of sleutelparen generation Key registration X Het registreren van sleuteluitgifte. Het gaat hier niet om de inhoudelijke sleutel maar meer aan welke persoon of instantie een sleutel is gegeven Key distribution X X Het distribueren van sleutels Key repository X Een CMDB van alle sleutels Key usage X X Sleutelgebruik Key revocation X Het intrekken van sleutels Key expiration X Het laten verlopen van sleutels Key backup X Het maken van een backup van sleutels Key installation X Het installeren van een sleutel / sleutels Key termination X Het vernietigen van sleutels Key archival X Het archiveren van sleutels Restricted key usage X Het gebruik van sleutels door een beperkte groep personen in het geval van herstel (recovery) van sleutels Teamnummer 719 Pagina 17 van 32

De life cycle is een bestaand generiek model voor key management. Hieronder een korte beschrijving van de belangrijkste onderdelen hiervan met de (audit) aspecten waarop gelet kan worden. Het is geen limitatieve weergave van alle eisen die hieraan gesteld worden. Hiervoor wordt verwezen naar de diverse normenkaders zoals: ISO: International Standard Organisation FIPS: Federal Information Processing Standard (officiële standaard voor de Verenigde Staten en uitgegeven door de National Institute of Standards & Technology) PKCS: Public Key Cryptography Standards, specifiek voor asymmetrische cryptografie (PKI) ANSI: American National Standards Institute ECBS: European Committee for Banking Standards Verder zijn er in het betalingsverkeer diverse (uitgevende) instanties met specifieke(re) eisen, zoals: EMVco: de eisen van de creditkaart uitgevende instanties VISA en MasterCard ten behoeve van het betaalschema via EMV, waarbij de transactie niet meer vanaf de magneetstripinformatie wordt geïnitieerd, maar vanuit de chip PCI: Payment Card Industry: meer algemene eisen vanuit VISA en MasterCard Key generation Het genereren van sleutels dient zodanig plaats te vinden dat de sleutel nooit buiten het generatie-device leesbaar (in klare tekst) gepresenteerd wordt. Dit kan door fysieke en logische afscherming van de omgevingen waarbinnen dit proces plaatsvindt. De presentatie van de sleutels kan vervolgens plaatsvinden door: - delen van de klare waarde direct in afgeschermde enveloppen te printen - de gegenereerde sleutel direct te versleutelen met een andere sleutel en (delen hiervan) uit te printen op zogenaamde sleutelbrieven of op te slaan in een apart device Het generatieproces dient onvoorspelbare sleutels te genereren. Hiervoor dient het device te voldoen aan met name de eisen van FIPS 140-2. Voor de AO/IC is het belangrijk dat de generatie plaatsvindt onder toezicht van een toezichthouder en, bij voorkeur, de betrokken key custodians. De toezichthouder controleert of het proces juist en integer verloopt. De key custodians zijn de medewerkers die de delen van de sleutels in ontvangst nemen en uiteindelijk invoeren. Key distribution De gegenereerde sleutel dient veilig gedistribueerd te worden. Dit kan encrypt onder een andere sleutel of via sleutelbrieven. Deze dienen bij voorkeur aan de verschillende key custodians persoonlijk overhandigd te worden. Een alternatief is verzending per post. De procedure hiervoor is dat de ontvangende key custodians vooraf zijn aangemeld. De aanleverende partij verzendt de sleuteldelen vervolgens aangetekend via een koerier. Nadat de ontvangst van het eerste deel is bevestigd, worden de volgende delen -eveneens aangetekendvia andere koeriers verstuurd. Key installation Het installeren van de sleutels dient onder toezicht te gebeuren overeenkomstig ISO 11568. Ten behoeve van de vertrouwelijkheid mogen de sleutels alleen opgeslagen worden in een security device, encrypt onder een andere sleutel of in gescheiden delen. Deze handelingen worden door de toezichthouder vastgelegd en ondertekend door betrokken personen. De vastlegging wordt vervolgens geadministreerd bij de key manager. Ter controle van een juiste installatie wordt bij generatie een Key Check Value toegevoegd. Hierbij wordt de originele sleutel met een zogenaamde one-way encryption methode versleuteld met een bepaalde standaard waarde. Door na het installeren dezelfde berekening na het installeren uit te voeren kan de verkregen waarde vergeleken worden met de opgegeven waarde. Teamnummer 719 Pagina 18 van 32

Key use Uiteindelijk moet een sleutel daadwerkelijk gebruikt worden, waarbij de volgende aspecten van belang zijn: - de sleutel mag niet ongeautoriseerd worden toegepast; - de sleutel mag alleen voor dat doel worden toegepast waarvoor deze is gegenereerd; - de sleutel mag gedeeld worden tussen maximaal twee partijen. Verder mag de cryptografische handeling alleen plaatsvinden in een speciaal daarvoor bestemd apparaat en mag er geen sleuteluitwisseling tussen test- en productieomgevingen plaatsvinden. Key back-up De devices waarin sleutels geladen worden, zijn vaak voorzien van een fysieke maatregel, de tamper resistance. Dit betekent dat bij grove fysieke toenadering van het device de inhoud gewist wordt. In dat geval moet een sleutel teruggezet kunnen worden. Een duplicaat of trilicaat van sleutels moet bewaard worden op fysiek gescheiden locaties. Indien de sleutel elektronisch wordt bewaard, gelden hier dezelfde regels voor als in de productionele omgeving. Als de sleutel(delen) op sleutelbrieven worden bewaard, moeten deze in (aparte) kluizen bewaard worden. De toegang tot deze kluizen mag, met toepassing van functiescheiding, alleen plaatsvinden door geautoriseerd personeel. Key archive Waar de back-up van de sleutel van belang is tijdens de actieve levensduur van de sleutel, is archivering dat nadat de sleutel zelf niet meer toegepast wordt. Denk bijvoorbeeld aan gegevens die encrypt zijn opgeslagen en als gevolg van wet- of regelgeving toch reproduceerbaar moeten blijven. Voor archivering gelden dezelfde eisen als voor back-up. Key termination Als een sleutel verlopen is en geen dienst meer doet, kan vernietiging plaatsvinden. Bij vernietiging moeten de sleutels in alle omgevingen waarin deze voorkomen, worden meegenomen. Ingeval een sleutel nog als back-up voorkomt op sleutelbrieven, dienen deze ook (gecontroleerd) vernietigd te worden. Teamnummer 719 Pagina 19 van 32